局域网域管理.doc

第一日问题u 情景：你是新应聘到一家企业的网管，在每一个工作日，你将向你的老总提出对现有网络的改进方案，满足老总提出的需求，或解决遇到的一些网络问题。该企业目前主要有四个部门：总裁办公室，财务部，销售部，信息技术部。目前网络状况：员工每人一台电脑，通过代理服务器上网，相互之间copy文章主要通过软盘或优盘，没有统一管理，员工电脑由员工自由支配，经常出现故障，信息技术部人员整天忙于为员工修理电脑，修复系统。目的：通过每一个工作日，你将现有的网络转变成易于管理和维护的windows 2000域，给不同员工配置不同的工作环境，并解决可能遇到的关于windows2000域的问题，以及满足老总提出的新需求。u 你上班后发现该网络存在以下问题：1 网络缺乏统一管理，员工电脑可以随意上网，添加删除程序，绝大多数人上班时间迷恋于上网，打游戏。无心工作。2.员工电脑经常由于随意添加删除程序而发生系统故障，信息技术部员工整日忙于为其它部门员工修复或重装系统，维护工作量很大。2 由于员工电脑经常出现故障，保存在电脑上的重要文件经常丢失，严重影响工作针对以上问题，你决定给老总写一份网络改进方案，将目前网络改组成易于集中管理的Win2000域，以提高员工电脑的工作利用率，并降低信息技术部的维护工作量u 工作要求：（一）：给老总写一份网络改进方案，包括：1 目前网络状况分析2 改进方案的目的及好处3 尽量不用术语，目的是让老总明白并同意你的方案。（二）：具体技术方案：包括：1建一台与控制器，DNS，命名域为,分配IP2根据部门要求，建立相应的组织单位3在相应的组织单位内建立用户，同实训一要求一样4给部门管理员（部门经理用户）委派权限，可以启用，停用该OU内用户，并可以修改其密码。5建立文件服务器，以便集中保持用户重要文件6将计算机加入到域7建立各种文档：（服务器，用户）及具体操作步骤8以上工作，今日完成解决方案网络改进方案一网络现状分析：经过调查，现在网络存在着许多问题，缺乏统一管理，没有统一的网络资源，用户和经理的文件不能有效地进行共享和传输，从而对提高工作效率产生了很不利的一面。同时员工迷恋网上游戏，无心工作，大大地消耗了大量的工作时间，对公司总体效益产生了很大的消极影响，签于以不利于公司的现状，现提出网络改进方案。网络改进方案：.建立一个可以把所有的计算机连到一起并能够统一管理所有计算机的实体，从而有效地控制用户的上网和玩游戏。.建立一台服务器，把公司员工的文件都集中地放在网络上的一个固定位置，当有关工作人员需要使用文件时能够很方便快捷地获取，并且保证不需要该文件的经理或雇员无权访问该网络上的文件。3.将员工的电脑上的程序进行统一部署，并通过一个可行的方法禁止员工在工作时段上网，从而保证了员工在工作的时间内只能干与工作有关的事。以上三条是基于公司资料和文档安全，从提高工作效率考虑而制定的网络改进方案，相信公司会考虑对现在公司的网络进行改进的。二方案的实施：（一）试验材料及规划：有三台装有win2000dvanced Server 的电脑，分别命名为soft（ip：），soft（ip：），soft（ip：）。让soft作域控制器和文件服务器，soft和soft为域中的计算机，让soft和soft通过网上邻居来访问softA。（二）具体操作：在soft上装活动目录（此过程很多同学都会做，此步骤省略）。在Active Dirctorye用户和计算机上为总裁办公室，教务部。信息技术部，销售部四个部门建立四个组织单位，分别命名为：zcbgs，cwb，xxjsb，xsb，并分别在四个组织单位中建立zcbgsuser，zcbgsmagnager，cwbuser，cwbmanager，xxjsbuser，xxjsbmanager，xsbuser，xsbmanager等八个用户。下面以财务部的组织单位CWB为例来进行委派权限的操作.以高级管理员身份登录到域中,打开”Active Directory用户和计算机”.在CWB上右键选中”委派控制”,按照向导进行权限委派,如下面的一系列图.分别在四个组织单位中分别实施委派权限。授予zcbgsmagnager， cwbmanager， xxjsbmanager，xsbmanager在自己所在的组织单位里建立和修改用户密码的权限。将另外两台（soft和soft）加入域，并把他们的设置为soft的ip地址（）。因为soft同时又作了文件服务器，故可以按照实训一中的操作来为四个部门的用户赋予必要的权限（此处略）。同时要在Active Dirctorye用户和计算机发布，填写好正确的网络路径。用户要想使用网络中的文件，只需在soft或soft的运行对话框中输入正确的网络路径（路径为：softshare）就可以访问到公司的文件服务器上。（三）总结：至此公司的网络就算是已经得到了基本的改进，这样可以统一规划公司的文件系统，实现了公司内部文件的传输和交流，并初步建立了统一的网络体系，有利于公司的网络进一步改进。第二日问题：你上班后不久，有个员工反映，他保存在文件服务器上的资料被别人删除了，你检查了文件服务器上该用户文件夹的权限，权限设置没有问题。过了一会，又有员工反映，他无法登陆到域，总提示密码错误，你建议他检查是否用户名或密码大小写错误，该员工说他用户名没错，密码昨天自己改成了空密码，不会有大小写错误。你只好让他找部门经理重设密码。你坐在那里思考了一会，想到了可能的原因，并在DC上做了相关设置，（要求：这些设置不仅仅只是为了解决以上两个问题，要从各方面考虑得尽可能详细）然后通知了各个部门注意事项。你刚刚为解决了一个问题而暗自高兴，老总突然打电话来说他仍然看到很多员工在上班时间上网，要求你马上禁止该现象。你根据公司制度在DC上做相关设置。公司制度如下：1、 只有部门经理和销售部员工可以上网。2、 为避免用户随意下载网上资源，禁止其他用户在网上下载文件，如有特别需要，可由信息技术部经理代为下载并放在文件服务器上，供其他用户下载。3、 下午，你发现公司的代理服务器出现故障，故障现象是用户不能通过它上网，由于该服务器还运行着其他重要程序，不能关闭和修改IP。于是你在另一台机器上安装了代理软件，希望用户通过它来上网，但用户不会在客户端修改代理服务器地址，你如何解决。(要求：每排使用CCProxy配置一台代理服务器，让域中用户通过它上网。)4、 以上工作，要求操作完成后写出详细文档备案。解决方案：u 问题一：因为设了空密码，所以有可能他的帐户被别人进行了登录然后把他的文件删除了。u 问题二：因为设了空密码，所以有可能他的帐户被别人进行了登录然后然后更改了密码。小结：通过问题一和二可以知道公司里的帐户策略需要进行设定，才能保证公司网络安全。所以要在全域的组策略中实施密码复杂性要求。u 问题三：创建两个gpo，一个包含正确的代理服务器ip地址，另一个设定错误的ip地址。第一步：建一个gpo，命名为gpor编辑gpor，如图双击“代理设置”图图如图把“启用代理服务器设置”，“对所有地址均使用相同的代理服务器”，“对于本地地址不使用代理服务器”几个复选框选中：填上正确的ip地址，如图。图第二步：双击“禁用更改代理服务器设置”如图图选中“已启用”，点击“确定”，关掉组策略控制台。如图图第三步：创建第二个gpo命名为gpow，步骤如上，只是把代理服务设置成一个错误的就可以了。第四步：把正确的gpor连接到全域，再把错误的gpow连接到除销售部门的其余各部门，并且把各部门的经理筛选出来即可。u 问题四：第一步：在soft安装ccproxy代理软件，并把ip设定为：Ip地址00子网掩码网关首选5备选8代理服务器：50端口：3128添加ip地址第二步：在soft和soft上的代理设置为：，然后就会发现可以上网了！如下图： 单击“局域网设置”然后连续点击确定即可。第三日问题：你听到办公室主任抱怨说：公司的各种通知、公告比较多，目前都是写成大字报，贴在公司大门口的公告栏里，有时太多都贴不下，还经常有员工来办公室询问以前的通知和公告的内容，很烦人。你想到可以在企业网内部建一个WEB站点，在上面发布通知和公告，可以让任意一个员工查看最新和所有历史信息，同时还可以发布其他的一些如宣传公司形象，鼓舞员工工作热情的内容。你把想法和办公室主任说明，他非常赞成，于是你和办公室共同起草一份建立内部WEB站点的建议，并获得老总批准。然后你建立了一个内部WEB站点，让每个员工都可用http:/xinxi 来访问，为了使员工一打开IE就能自动访问它，你把它设为首页，并且用户不能改动。你一直加班到中午1点，完成了工作，同样加班在网站上写信息的办公室人员立即写了一份通知贴到了大门口，通知员工下午开始可以直接运行IE浏览公司的内部站点查看信息。下午，你到外地出差，突然接到信息技术部电话，说DC的CUP利用率比以前突然增加很多，不知道是何原因。你首先吓了一跳，后来想了想，根据上午对网络的改动，你想到了可能的原因，为了验证你的想法，并尽快解决问题，你写了一份解决方案，发给信息技术部的一名员工，让他马上按照你的方案去做。解决方案：u 建立web站点：在soft装上IIS，把网页文件放在soft上，建立内部web站点，并在上建立一个名为xinxi的主机，在iis上用主机头。如下：打开，右击“公司内部网”属性网站。进行如下设定：如图图点击“高级”选项卡，看到如图的对话框。图点击“编辑”，进行如图的设置。图点击“确定”在公司内部的属性的“文档”选项卡上进行如图的设置（将index上移到最上面，因为index是公司内部的主页名称） 图u 锁定首页（一）建立一个gpo，命名为gpoie，编辑组策略如下：第一步：双击“重要”如图图在“重要”选项上进行如图的设置。图点击确定。第二步：双击“禁用更改主页设置”如图图选中“已启用”，如图图点击确定，并关闭组策编辑器。（二）.将gpoie连接到全域。u Cpu的利用率高的原因可能为：（）web服务器和dns服务器在同到主机上：解决方法就是让它们分开。（）服务器由于增加了解析负荷（由于需要解析内部的主页），从而使得工作量增大。解决办法：新建一台dns服务器，减轻主dns服务的工作负荷。第四日问题你出差回来后，因为上次的情况，考虑到了系统容错和网络优化问题。你决定，为域中添加另一台DC,以防止单一DC出现故障，同时把DNS区域改为与AD集成的区域，以优化网络。然后，你又在域中添加了一台DHCP服务器，两台DHCP服务器为用户配置了不同的DNS服务器IP，以便用户可以访问不同的DNS服务器，均衡服务器的工作量,每台DHCP服务器各自分配50%的IP。这样，你的域中就有了两台DC、DNS和DHCP服务器，可以做相互备份。你不怕任何一台服务器出现故障了。写出文档，记录你今天所做的内容。解决方案u 建立辅助域控制器在soft新建一台辅助域控制器，建立过程中也把dns服务器建了。在soft上的“运行”对话框中输入dcpromo，然后而按照揭示一步一步地操作即可，一定要注意在建立过程中选中“现有域的额外域控制器”。如下图：u 分别在softA和softB上建立dhcp服务器，下面以soft上的建立过程来介绍的建立。开始程序管理工具DHCP,在softA上右击,选中新建作用域.如图图点击“下一步”，填写ip地址范围和子网掩码，如图图如果没有要排除的地址范围可以跳过这一步。如图图租约期限可以按照按照默认的值。如图图选中“是，我想现在配置这些选项”，如图图跳过下面的路由器配置。如图图根据服务器的名字和ip地址如图填写。单击添加图图路过图的wins服务器图图图最后点击“完成”。至此为止，服务即可开通。同样在soft上也进行如上操作。u 测试两台dhcp服务器。在softC上的ip地址设为“自动获取ip地址和dns”，然后注销。再次进入时可能会发现获取的ip不在两台dns服务器的地址池中，原因是在机房里可能其他组的dhcp服务器为soft5-1分得了ip地址。所以可以通过指定DNS，只让IP地址获取，这样可以看到softC 获得了一个由DHCP服务器从地址池中为其分配的IP地址。在softC上如下图设置：第五日问题现在，网络里有了以下几种服务器：域控制器、DNS服务器、DHCP服务器、WEB服务器、代理服务器。并且DC、DNS、DHCP都有备份服务器。用户和权限也进行了相关配置。基本上已经构成了一个稳定、安全的内部网络。你开始了更细致的考虑。曾经有用户建议说：他在网上邻居里访问域时可以看到所有的用户、发布的文件夹，感觉不安全。你现在开始考虑配置AD对象的DACL。目的是让用户在目录里只能看到其本身有访问权限的实际资源的对象信息，比如，没有对其他用户有权限就不能浏览其他用户的属性、在目录里只能浏览到他有权限访问的共享文件夹。这是一件比较繁琐的工作，你要根据实际情况进行规划并开始实施。同时，鉴于目前网络流量并不是很多，而且网络正处在初步阶段，经常要改变配置、信息。为了使这些变化能更快的应用到用户和计算机。你缩小了用户、计算机的组策略刷新时间，为20分钟。你进行以上修改并验证。今天相对来说是较清闲的一个工作日。下班的时候，你想了想从开始到现在所做的工作，认为：这个网络已经配置得很好了，以后的工作会越来越清闲，你没有想到，明天，将会出现一个让你非常头疼的问题。解决方案：u 禁止用户查看其他部门的文件夹：（一）出现的情况是这样的：在域中的一台计算机（softB）上可以通过以下方法：网上邻居整个网络soft1然后能看到除了自己部门（比如财务部）的文件夹，但还可以看到其他部门的文件夹。下面是以信息技术部的一个用户在softC通过网上邻居看到的情况，很明显，信息技术部的员工看到了除信息技术部之外的的财务部，总裁办公室，销售部等部门的文件夹。如下图：（二）解决办法：如果不想让销售部（以员工Suer1为例）通过网上邻居看到财务部的共享文件夹，可以这样做：在财务部的共享文件夹属性安全把销售部加进去，然后赋予“拒绝的权限”，然后用信息技术部的用户登录就再不能通过网上邻居看到财务部的共享文件夹了。 然后让Suser1在softC登录到域，就会发现以该帐户登录后看不到CWB这个组织单位了。u 修改组策略的刷新时间：在全域实施一个gpo，命名为gpofresh，对其配置：如下：双击选中的“用户组策略刷新间隔”，进行设定，然后点击确定即可。第六日问题：今天一上班，你就发现第一台域控制器出现硬件故障，你用了很多方法都不能让它正常启动。你只好将它关闭并立即启动第二台域控制器，并进行相关配置，以便让所有用户都可以正常入网工作。然后你开始检查第一台域控制器，判断极有可能是主板出现故障，无法在短时间内修复。这种情况下，为安全考虑，你不得不再次向域中添加域控制器。然而，由于五种操作主机角色都在第一台域控制器上，你第一步要做的事情就是让目前工作的第二台域控制器获得这五种操作主机角色。然后，再向域中添加一台域控制器，并配置DNS。因为是第一次碰到这样的故障，你做起来手忙脚乱，浪费了很多时间，为了以后碰到同样故障迅速解决，你写了一份详细的域控制器故障应急计划，以后，碰到今天这样的故障，任何人都可以按照你的计划步骤来完成以上工作。解决方案Active Directory操作主机角色概述一.Active Directory 定义了五种操作主机角色（又称FSMO）1.架构主机 schema master、2 域命名主机 domain naming master3 相对标识号 (RID) 主机 RID master4 主域控制器模拟器 (PDCE) 5 结构主机 infrastructure master其中1、2为目录林中唯一。3、4、5为域中唯一。二转移操作主机可以分为两种情况：原担任操作主机角色的域控制器能正常工作。原担任操作主机角色的域控制器不能正常工作。三两种情况的操作步骤：u 第一种情况：此种情况下转移操作主机角色比较简单，方法如下：（一）转移特定于域的角色：RID、PDC 和结构主机1单击开始，指向程序，指向管理工具，然后单击“Active Directory 用户和计算机”，将其打开。2右键单击“Active Directory 用户和计算机”，然后单击“连接到域控制器”。连接你想转移到的控制器。3单击“操作主机”，然后进行更改。（二）转移域命名主机角色：单击开始，指向程序，指向管理工具，然后单击“Active Directory 域和信任关系”，将其打开。1右键单击“Active Directory 域和信任关系”图标，然后单击“连接到域控制器”，连接你想转移到的控制器。2右键单击“Active Directory 域和信任关系”图标，单击“操作主机”，然后进行更改。（三）转移架构主机角色：1、注册架构工具单击开始，然后单击运行。键入 regsvr32 schmmgmt.dll，然后单击确定。显示出一条指出注册成功的消息2、转移架构主机角色单击开始，单击运行，键入 mmc，然后单击确定。打开控制台菜单上，单击“添加/删除管理单元”然后添加。单击 Active Directory 架构，然后添加。单击关闭以关闭添加独立管理单元对话框。单击确定以将此管理单元添加到控制台。右键单击 Active Directory 架构图标，然后单击更改域控制器，连接想转移到的域控制器。右键单击 Active Directory 架构，然后单击操作主机，进行更改。u 第二种情况：原担任操作主机角色的域控制器不可以正常工作。这时就需要运行ntdsutil.exe，强行将角色夺取。方法如下。（一）在额外域控制器上通过ntdsutil.exe工具执行夺取五种操作c:ntdsutilntdsutil: roles(进入更改角色)fsmo maintenance: Select operation target（选择站点、服务器、域）select operation target: connections（连接到特定域控制器）server connections: connect to domain soft*.com（连接到特定域soft*.com）server connections:quitselect operation target: list sites(查看站点)Found 1 site(s)0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=soft*,DC=comselect operation target: select site 0(连接到站点0)Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=soft*,DC=comNo current domainNo current serverNo current Naming Contextselect operation target: List domains in site(查看域)Found 1 domain(s)0 - DC=soft*,DC=comselect operation target: select domain 0(连接到域0)Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=soft*,DC=comDomain - DC=soft*,DC=comNo current serverNo current Naming Contextselect operation target: List servers for domain in site(查看所连接的站点及域中的域控制器)Found 1 server(s)0-CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=soft*,DC=comselect operation target: select server (选择想要转移到的服务器0)select operation target: quit（下面开始夺取角色，如果还想重新开启原第一台dc。可以不具体操作，）fsmo maintenance:Seize PDC出现对话框，按“确定“fsmo maintenance:Seize RID master出现对话框，按“确定“fsmo maintenance:Seize schema master出现对话框，按“确定“fsmo maintenance:Seize domain naming master出现对话框，按“确定“fsmo maintenance:Seize infrastructure master出现对话框，按“确定“（以上完成角色夺取过程。）fsmo maintenance:quitntdsutil: quit（退出）（注：以上操作也适用于原DC正常工作时进行角色转换。区别是：原DC不在线时使用Seize进行操作，如果原DC在线，需要使用Transfer操作）-（二）、设置额外控制为（全局编录）打开Administrative Tools中的Active Directory Sites and Services，展开Sites，展开Default-First-Site-Name，展开Servers，展开DC-02.SOFT*.com(额外控制器)，右击NTDS Settings选择Properties，然后在Global Catalog前面打勾，单击确定按钮，然后重新启动服务器。试验过程体验：当softA能正常工作时进行了第一种方案，在每个角色夺取过程中可能第一次操作时不成功，但不要急，稍停片刻再试就会行的。当进行第二个方案时（让softA关机），按照命令敲即可，在操作过程中也可能会揭示不能成功传输，但过一会儿你就发现已经传输成功了，利用第一种情况（主域控制器能正常工作时的情况）的解决方法的操作步骤来查看五个角色是不是发生了更改，你会发现soft已经担任了五种角色。第七日问题：你发现，这段时间通过规章制度和强制的技术手段，用户已经形成了不乱添加、删除程序的好习惯，但他们的域用户身份在执行一些本机操作时常受限制，会影响工作。你决定提升域用户在用户本机的权限，让员工登录域后对本机有完全管理权限，如果需要对员工进行限制则可以通过组策略来完成（例如禁止用户修改IE主页）。公司临时聘请了一位培训主管，负责对员工进行培训。培训地点在会议室，利用会议室连网的微机和投影讲课。同时该主管还配有专用办公地点和连网微机，以便写培训内容。他现在跟你抱怨说：每次讲课都要用U盘将资料从办公室微机复制到会议室微机，非常麻烦，并且有很多精彩的视频资料，由于文件太大，无法用U盘复制，影响讲课内容。你想到了一个解决办法。事后，该培训主管说：现在真是太方便了。你对通过组策略控制IE比较感兴趣，从网上下载了一些资料，并自己做起了实验。你从网上下载了一个微软WIN2000的补丁，Windows2000-KB890046-x86-CHS.EXE，你想通过组策略让所有的用户安装，你如何做。 参考资料的写法，写出、的文档，发到ny_,并作为原创上传到熟悉的论坛，查看反响。解决方案：u 解决让用户自己对计算机有完全控制的权限（一）可以这样做： 运行“MMC”，打开控制台，添加“本地用户和组”，然后连接到域中的计算机，然后将该用户添加到本地管理员组中即可。如下 ： 通过“浏览”，连接到域中特定的计算机（如soft），然后在该计算机上进行操作，把域中的用户添加到本地管理员组中即可。（图略）（二）不成功的解决方法：打开“Active Driectoty 用户和计算机”，在computer的组织单位上，选中某个域中的计算机，右键属性安全把域中的用户添加到“用户列表中”，然后赋予“完全控制”的权限。但这不行，因为没有把域中的用户添加到该本地计算机的本地用户的高级管理员组中，就不可能让该域中的用户具备像高级管理员一样的权限。u 解决主管用u盘无法搬运大的文件的问题：在共享文件夹share中为其建一个文件夹，然后赋予他对他自己的文件夹有完全控制的权限。u 通过组策略让用户安装升级补丁：法一：把该应用程序使用软件打包工具重新打包，制作一个软件包文件（即扩展名为msi的文件，然后再发布。软件打包工具可以在微软中国的网站上找，下载之后摸索着用即可，在这里不在法二：第一步：用记事本编一个批处理文件。 打开记事本，写上升级的应用程序所在的地方，必须放在共享文件中，必须让用户对其有“读取”的权限，如下： . 然后将其命名为：update.bat,到现在为止，批处理文件制好了，简单吧，然后将其在组策略中设为登录脚本即可。评价与比较： 与方法一相比，方法二较方便，但问题是每当用户登录时都要求进行升级安装，从而可能产生在同一台计算机上进行多次重复的安装的问题。为了避免这种问题的出现，可以事先通知每个用户在统一的时间里登录到域中，从而可以进行统一的安装，然后停止该登录脚本。用方法一就不用了，只需用户第一次登录后安装，然后再次登录时就不用再进行安装了。方法一是进行大型软件部署的基本方法也是最常用的方法。但方法一要用一个制作软件进行转换，即制作msi文件，有点复杂。第八日问题：有一个审计用户：usershenji，是用来每年一次对整个系统进行审计时用的，配置了很多的相关权限（模拟配置：用户在组织单位shenji里，隶属于administrators组,对共享文件夹share有安全控制的权限）。可是，今天在清理用户时，你不小心将他删除了。你想恢复这个用户，进行了以下操作：重新建立了usershenji用户。然后用这个用户登录，你发现：-一、 你想重新配置用户权限。你发现你的权限纪录没有做好，没有记全所有配置，当然你也可以凭记忆逐步配置，但你发现要想很长时间。二、 你用昨天的AD备份数据进行恢复。你发现： -。三、 你该如何做？解决方案：试验过程： 第一步：创建名为shenji的组织单位和创建名为shenjiuser的用户。 第二步：用shenjiuser登录，然后修改其桌面墙纸（为了区别和辨认备份后还是这个用户）。 第三步：做备份。开始程序附件系统工具备份然后按照向导一步一步地进行就行了，注意在选中“只备份系统状态数据报），然后就可以对活动目录进行备份了。第四步：在主域控制器上删掉shenji该组织单位，并观察两个域控制器soft和soft上的shenji组织单位由作了删除标记到完全删除的过程。（1）在soft上的“ActiveDirectory用户和计算机”的控制台上先观察的变化情况，然后再在该控制台上连接到域控制器soft上再进行观察，会发现两个域控制器上的shenji组织单位有一个由做了删除标记到完全删除的过程。（2）在soft上连接到域控制域soft，观察现象，会产生和soft一样的现象。 第五步：用非绝对还原来恢复备份。（按默认进行还原即可），会在还原后发现shenji组织单位还是没有恢复。 第六步：用绝对还。在还原过程完成后，关闭“备份”对话框，当系统提示重新启动计算机时不要马上重新启动，而在dos命令对话框中输入“ntdsutil”.开始进行命令行的任务。如下： Ntdsutil authoritative restore restore subtree OU=shenji, DC=soft1, DC=com三条命令即可完成任务。再重新启动计算机会发现shenji这个组织单位和其中的用户shenjiuser也恢复了。第六步：用shenjiuser登录到域中，看是不是还是原来的那个用户（通过桌面墙纸判断）。如果墙纸还是原来的，说明实验做成功了。第九日问题：你的公司最近合并了一家有一定知明度的公司，从此那家公司就直隶于你们的公司了，因此你们和那家公司就像和子公司一样发生了联系，作为一个你们公司的域管理员你必须能够让你们畅通无阻地通信，所以你们之间要建立信任关系，你应该怎么做？解决方案： 不同森林中的Windows 2000域信任摘要本文讲述了在不同森树林中的环境下，如何做好Windows 2000域信任关系。信任关系是连接在域与域之间的桥梁。当域与域建立了信任关系后，两个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理。把两个域之间建立信任关系后，下面将详细介绍不同森树林的Windows 2000信任。目录环境分析域信任关系概述配置DNS测试DNS是否正常工作建立两个不同树林的DCGUI添加信任关系验证信任关系环境分析A公司的主域控制器的计算机名为（IP：/24），B公司的主域控制器的计算机名为（IP：0/24）两个域分别是单独一个域林（也就是说之前是两个完全没有关系的两个域）现在来让他们建立信任关系如图1。现在想实现以下功能：的用户能够访问中的资源，的用户也要能够访问的资源。如图1图1注意：1。在试验的环境下必须保证两个域的ip地址在一个网段。2。在现实的环境中两个域很可能不在现一个网段，但可以用路由器把两个网段连接起来，两个域控制器之间就能互相访问了。域信任关系概述活动目录提供域间的信任关系提供跨域的安全。当域之间有信任关系时，每个域的认证机构都信任其他所有它信任的域的认证机构。如果一个user或application被一个域认证以后，所有信任这个认证域的域都认同这种模式。一个被信任域中的用户都必须受到信任域上的访问控制。不访举例说名：如图1的信任关系我们可分析以下三种情况：1、 域只信任dc2. com域，那么就的用户能够访问上的资源，反之不行。2、 域只信任域，这样的话就是的用户能够访问上的资源，反之不行。3、 域和域互相信任，现在就是双方的用户多能访问到对方的资源。因为是两个不同林的域，所以他们之间是不可传递信任。显然我们要做的工作就是让和实现双向可传递信任关系。配置DNS一在上配DNS：（如果在建立域控制器的过程中连同也建了，14步可以省略）1、点击开始设置控制面板添加/删除程序添加/删除Windows组件网络服务域名系统确定2、建立正向搜索区域点击开始程序管理工具DNS点击右键netitboy（主域控制器的名字）出现新建区域下一步标准主要区域下一步正向搜索区域下一步输入下一步下一步完成右键点击刚新建完的属性允许动态更新选择是确定。3、建立反向搜索区域点击反向搜索区域右键出现新建区域下一步标准主要区域下一步网络ID输入：192.168.1下一步下一步完成右键点击刚新建完的192.168.1